CVE-2022-23651 in b2-sdk-python
Sumário
de VulDB • 27/05/2026
b2-sdk-python é uma biblioteca Python para acessar armazenamento em nuvem fornecido pela Backblaze. As versões do SDK para Linux e Mac, 1.14.0 e anteriores, contêm uma vulnerabilidade de divulgação de chave que, sob certas condições, pode ser explorada por atacantes locais por meio de uma condição de corrida time-of-check-time-of-use (TOCTOU). Os usuários do SDK que utilizam o formato SqliteAccountInfo são vulneráveis, enquanto os usuários do formato InMemoryAccountInfo estão seguros. O SqliteAccountInfo salva chaves de API (e o mapeamento de nome do bucket para ID) em um arquivo de banco de dados local ($XDG_CONFIG_HOME/b2/account_info, ~/.b2_account_info ou um caminho definido pelo usuário). Quando criado pela primeira vez, o arquivo é legível por todos e é (tipicamente alguns milissegundos depois) alterado para ser privado do usuário. Se o diretório que contém o arquivo for legível por um atacante local, durante o breve período entre a criação do arquivo e a modificação das permissões, um atacante local pode tentar abrir o arquivo e manter um handle para ele. Isso permite que o atacante local leia o conteúdo do arquivo após as informações sensíveis terem sido salvas nele. Os consumidores deste SDK que dependem dele para salvar dados usando a classe SqliteAccountInfo devem atualizar para a versão mais recente do SDK. Aqueles que acreditam que um usuário local pode ter aberto um handle usando essa condição de corrida devem remover os arquivos de banco de dados afetados e regenerar todas as chaves do aplicativo. Os usuários devem atualizar para o b2-sdk-python 1.14.1 ou posterior.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.